IPv4 アクセスリスト¶
コマンド一覧
| コマンド | コマンドの機能 |
|---|---|
| ip access-list ip | IPv4 アクセスリストの登録 (IP) |
| ip access-list tcp | IPv4 アクセスリストの登録 (TCP) |
| ip access-list udp | IPv4 アクセスリストの登録 (UDP) |
| ip access-list icmp | IPv4 アクセスリストの登録 (ICMP) |
| ip access-list cache | IPv4 アクセスリスト・キャッシュサイズの設定 |
| ip access-list cache timeout | IPv4 アクセスリスト・キャッシュタイムアウトの設定 |
| ip access-list dynamic | IPv4 ダイナミックアクセスリストの登録 |
| ip access-list dynamic cache | IPv4 ダイナミックアクセスリスト・キャッシュサイズの設定 |
| ip access-list dynamic timer | IPv4 ダイナミックアクセスリストタイマーの設定 |
| ip access-list option nocache | IPv4 アクセスリストのキャッシュ無効設定 |
| ip access-list option optimize | IPv4 アクセスリストの最適化設定 |
| ip access-list sequence-mode | IPv4 アクセスリスト・入力モードの設定 |
| show ip access-list | IPv4 アクセスリストの表示 |
| show ip access-list cache | IPv4 アクセスリスト・キャッシュの表示 |
| show ip access-list dynamic | IPv4 ダイナミックアクセスリストの表示 |
| clear ip access-list cache | IPv4 アクセスリスト・キャッシュのクリア |
| clear ip access-list dynamic hit-count | IPv4 ダイナミックアクセスリストカウンタのクリア |
| clear ip access-list hit-count | IPv4 アクセスリストカウンタのクリア |
IPv4 アクセスリストの登録 (IP)¶
[入力形式]
ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } { PROTOCOL | ip }src SRC dest DEST [ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ip access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
PROTOCOL...プロトコル番号
- 範囲: 1〜255
ip...全IPv4プロトコル
SRC/DEST...送信元/送信先IPv4アドレス
- IPv4アドレス/ネットマスク 0〜32
- IPv4アドレス + WILDCARD-BIT(IPv4形式)
- any...すべて
TOS...type of service
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- パケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ip access-list 20 permit ip src 192.168.0.0/24 dest anyip access-list 20 permit ip src 192.168.0.0 0.0.0.255 dest any tos normal
- [ノート]
- TCP/UDP/ICMP を指定したアクセスリストは、別途専用の項目を参照してください。アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv4 アクセスリストの登録 (TCP)¶
[入力形式]
ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } tcp [ FLAGS ]src SRC [ sport OPERATOR PORT ] dest DEST [ dport OPERATOR PORT ][ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ip access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
FLAGS...TCPヘッダの制御フラグ
- ack|fin|psh|rst|syn|urg:該当フラグがON
- established :(ACKまたはRSTビットがON)
SRC/DEST...送信元/送信先IPv4アドレス
- IPv4アドレス/ネットマスク 0〜32
- IPv4アドレス + WILDCARD-BIT(IPv4形式)
- any...すべて
OPERATOR...ポート番号演算子
- lt :より小さい (less than)
- gt :より大きい (greater than)
- eq :同一 (equal)
- neq :同一でない (not equal)
- range:範囲指定
- any :すべて
PORT...ポート番号
- any,range以外: 1〜65535
- range: [最小ポート番号] [最大ポート番号]
TOS...type of service
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- TCPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ip access-list list1 deny tcp src any sport range 67 100 dest any dport anyip access-list list1 permit tcp established src any sport any dest any dport any
- [ノート]
- アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv4 アクセスリストの登録 (UDP)¶
[入力形式]
ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } udpsrc SRC [ sport OPERATOR PORT ] dest DEST [ dport OPERATOR PORT ][ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ip access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
SRC/DEST...送信元/送信先IPv4アドレス
- IPv4アドレス/ネットマスク 0〜32
- IPv4アドレス + WILDCARD-BIT(IPv4形式)
- any...すべて
OPERATOR...ポート番号演算子
- lt :より小さい (less than)
- gt :より大きい (greater than)
- eq :同一 (equal)
- neq :同一でない (not equal)
- range:範囲指定
- any :すべて
PORT...ポート番号
- any,range以外: 1〜65535
- range: [最小ポート番号] [最大ポート番号]
TOS...type of service
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- UDPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ip access-list list1 deny udp src any sport range 67 100 dest any dport any
- [ノート]
- アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv4 アクセスリストの登録 (ICMP)¶
[入力形式]
ip access-list ACCESSLIST-NAME [ SEQUENCE ] { permit | deny } icmp[ type TYPE [ code CODE ] | ICMP-MESSAGE ]src SRC dest DEST[ tos TOS ] [ precedence PRECEDENCE ] [ dscp DSCP ] [ fragments ]no ip access-list ACCESSLIST-NAME [ ... ]
[パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
SEQUENCE...シーケンス番号
- 範囲: 1~4294967295
permit...許可
deny...拒否
CODE...ICMP code
- 範囲: 0〜255
ICMP-MESSAGE...ICMPメッセージ
- administratively-prohibited
- dod-host-prohibited
- dod-net-prohibited
- echo
- echo-reply
- general-parameter-problem
- host-isolated
- host-precedence-unreachable
- host-redirect
- host-tos-redirect
- host-tos-unreachable
- host-unknown
- host-unreachable
- information-reply
- information-request
- mask-reply
- mask-request
- net-redirect
- net-tos-redirect
- net-tos-unreachable
- net-unreachable
- network-unknown
- option-missing
- packet-too-big
- parameter-problem
- port-unreachable
- precedence-unreachable
- protocol-unreachable
- reassembly-timeout
- redirect
- router-advertisement
- router-solicitation
- source-quench
- source-route-failed
- time-exceeded
- timestamp-reply
- timestamp-request
- ttl-exceeded
- unreachable
SRC/DEST...送信元/送信先IPv4アドレス
- IPv4アドレス/ネットマスク 0〜32
- IPv4アドレス + WILDCARD-BIT(IPv4形式)
- any...すべて
TOS...type of service
- 範囲: 0〜15
PRECEDENCE...precedence
- 範囲: 0〜7
DSCP...dscp
- 範囲: 0〜63
fragments...フラグメントパケットを指定
- [説明]
- ICMPのパケットをさまざまな条件で判定し、許可または拒否を決定する機能です。複数の条件を登録でき、登録した順に評価します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
[入力例]
ip access-list list1 deny icmp src any dest anyip access-list list1 deny icmp port-unreachable src any dest any
- [ノート]
- アクセスリストの削除は、名前のみ指定した場合は同一名のアクセスリストをすべて削除し、パラメータを指定した場合は一致するエントリのみを削除します。
- [IX2000/IX3000シリーズ差分]
- src-domain、dest-domainオプション未対応
- linkmgrオプション未対応
IPv4 アクセスリスト・キャッシュサイズの設定¶
- [入力形式]
- ip access-list cache [ CACHE-SIZE ]no ip access-list cache
- [パラメータ]
CACHE-SIZE...キャッシュサイズ
- 範囲: 1~100000
- [説明]
- アクセスリストのキャッシュサイズを設定します。
- [デフォルト値]
- 20000
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list cache 2048no ip access-list cache
- [ノート]
- なし
IPv4 アクセスリスト・キャッシュタイムアウトの設定¶
- [入力形式]
- ip access-list cache timeout TIMEOUTno ip access-list cache timeout
- [パラメータ]
TIMEOUT...タイムアウト(秒)
- 範囲: 1~600
- [説明]
- アクセスリストのキャッシュタイムアウトを設定します。
- [デフォルト値]
- 30
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list cache timeout 10no ip access-list cache timeout
- [ノート]
- なし
IPv4 ダイナミックアクセスリストの登録¶
- [入力形式]
- ip access-list dynamic ACCESSLIST-NAME PROTOCOL [ PORT ] src SRC dest DESTip access-list dynamic ACCESSLIST-NAME access ACL [ in ACL [ out ACL ] ]no ip access-list dynamic ACCESSLIST-NAME [ ... ]
- [パラメータ]
ACCESSLIST-NAME...IPv4 ダイナミックアクセスリスト名
- 15文字以内の文字列
PROTOCOL...プロトコル
- ftp :FTP
- tftp :TFTP
- http :HTTP
- dns :DNS
- telnet :Telnet
- sip :SIP
PORT...ポート番号 (ftp, tftp, sip選択時)
- 範囲: 1~65535
SRC/DEST...送信元/送信先IPv4アドレス
- IPv4アドレス/ネットマスク 0〜32
- IPv4アドレス + WILDCARD-BIT(IPv4形式)
- any...すべて
ACL...IPv4 アクセスリスト名
- 15文字以内の文字列
- [説明]
- ダイナミックフィルタで使用するダイナミックアクセスリストを登録します。プロトコルまたはアクセスリストで指定した通信を、内側から開始した場合のみ許可するフィルタとして動作します。アクセスリストを指定する形式では、通信検出時に他の通信を許可することも可能です。in (accessと逆の方向)、out (accessの方向) を指定した場合、指定した方向の通信を許可します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list dynamic dynamic1 ftp src 192.168.0.0/24 dest anyip access-list dynamic dynamic1 ftp 10021 src any dest 10.0.0.254/32ip access-list dynamic dynamic2 access static2ip access-list dynamic dynamic3 access static3-1 in static3-2 out static3-3no ip access-list dynamic dynamic1no ip access-list dynamic dynamic2 access static2
- [ノート]
- 外部からの通信を破棄するようにフィルタを設定しておく必要があります。
IPv4 ダイナミックアクセスリスト・キャッシュサイズの設定¶
- [入力形式]
- ip access-list dynamic cache [ CACHE-SIZE ]no ip access-list dynamic cache
- [パラメータ]
CACHE-SIZE...キャッシュサイズ
- 範囲: 1~250000
- [説明]
- ダイナミックアクセスリストのキャッシュサイズを設定します。
- [デフォルト値]
- 32768
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list dynamic cache 2048no ip access-list dynamic cache
- [ノート]
- なし
IPv4 ダイナミックアクセスリストタイマーの設定¶
- [入力形式]
- ip access-list dynamic timer TIMER-TYPE TIMEno ip access-list dynamic timer [ TIMER-TYPE ]
- [パラメータ]
TIMER-TYPE...タイマーの種類
tcp-syn-timeout...
SYNを受けてから設定された時間内にデータが流れなければセッションを切断します。
tcp-fin-timeout...
FINを受けてから設定された時間内にデータが流れなければセッションを切断します。
tcp-idle-time...
設定された時間内にTCPセッションのデータが流れなければセッションを切断します。
udp-idle-time...
設定された時間内にUDPセッションのデータが流れなければセッションを切断します。
icmp-timeout...
設定された時間内にICMPセッションのデータが流れなければセッションを切断します。
global-timeout...上記に該当しないセッションは、この設定に従います。
設定された時間内にデータが流れなければセッションを切断します。
TIME...待ち時間(秒)
- 範囲: 0〜259200
- [説明]
- ダイナミックアクセスリストが適用されたセッションの、切断までの待ち時間を設定します。
- [デフォルト値]
- tcp-syn-timeout : 30
- tcp-fin-timeout : 5
- tcp-idle-time : 300
- udp-idle-time : 30
- dns-timeout : 30
- icmp-timeout : 30
- global-timeout : 60
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list dynamic timer tcp-syn-timeout 10no ip access-list dynamic timer tcp-syn-timeoutno ip access-list dynamic timer
- [ノート]
- なし
IPv4 アクセスリストのキャッシュ無効設定¶
- [入力形式]
- ip access-list ACCESSLIST-NAME option nocacheno ip access-list ACCESSLIST-NAME option nocache
- [パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
- [説明]
- 指定されたアクセスリストのキャッシュ作成を無効にします。
- [デフォルト値]
- キャッシュ有効
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list list1 option nocacheno ip access-list list1 option nocache
- [ノート]
- なし
IPv4 アクセスリストの最適化設定¶
- [入力形式]
- ip access-list ACCESSLIST-NAME option optimizeno ip access-list ACCESSLIST-NAME option optimize
- [パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
- [説明]
- 多数の条件を登録したアクセスリストの検索処理を最適化します。noコマンドにより最適化リストが破棄され登録順に評価されます。
- [デフォルト値]
- 最適化なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list list1 option optimizeno ip access-list list1 option optimize
- [ノート]
- なし
IPv4 アクセスリスト・入力モードの設定¶
- [入力形式]
- ip access-list ACCESSLIST-NAME sequence-mode [ INTERVAL ]no ip access-list ACCESSLIST-NAME sequence-mode
- [パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
INTERVAL...シーケンス番号の自動付与間隔
- 範囲: 1~1000
- デフォルト値: 100
- [説明]
- シーケンス番号指定モード (Sequenceモード) に変更し、既存のアクセスリスト設定にシーケンス番号を付与します。noコマンドにより通常モード (Normalモード) に変更し、既存のアクセスリスト設定からシーケンス番号を削除します。
- [デフォルト値]
- 通常モード
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ip access-list rule1 sequence-mode 50no ip access-list rule1 sequence-mode
- [ノート]
- なし
IPv4 アクセスリストの表示¶
- [入力形式]
- show ip access-list [ ACCESSLIST-NAME ]
- [パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
- [説明]
- アクセスリスト情報を表示します。ACCESSLIST-NAME 省略時は全アクセスリストの一覧を表示します。ACCESSLIST-NAME 指定時は詳細情報を表示します。
- [デフォルト値]
- なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ip access-listshow ip access-list 300
- [ノート]
- なし
IPv4 アクセスリスト・キャッシュの表示¶
- [入力形式]
- show ip access-list cache
- [パラメータ]
- なし
- [説明]
- アクセスリストのキャッシュ内容を表示します。
- [デフォルト値]
- なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ip access-list cache
- [ノート]
- なし
IPv4 ダイナミックアクセスリストの表示¶
- [入力形式]
- show ip access-list dynamic [ ACCESSLIST-NAME ]
- [パラメータ]
ACCESSLIST-NAME...IPv4 ダイナミックアクセスリスト名
- 15文字以内の文字列
- [説明]
- ダイナミックアクセスリスト情報を表示します。ACCESSLIST-NAME 省略時は、全ダイナミックアクセスリストの一覧を表示します。ACCESSLIST-NAME 指定時は、詳細情報を表示します。
- [デフォルト値]
- なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ip access-list dynamic dynamic1
- [ノート]
- なし
IPv4 アクセスリスト・キャッシュのクリア¶
- [入力形式]
- clear ip access-list cache
- [パラメータ]
- なし
- [説明]
- アクセスリストのキャッシュをクリアします。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ip access-list cache
- [ノート]
- なし
IPv4 ダイナミックアクセスリストカウンタのクリア¶
- [入力形式]
- clear ip access-list dynamic hit-count [ ACCESSLIST-NAME ]
- [パラメータ]
ACCESSLIST-NAME...IPv4 ダイナミックアクセスリスト名
- 15文字以内の文字列
- [説明]
- ダイナミックアクセスリストのカウンタをクリアします。ACCESSLIST-NAME を省略時は、すべてのダイナミックアクセスリストのカウンタをクリアします。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ip access-list dynamic hit-count 3000
- [ノート]
- なし
IPv4 アクセスリストカウンタのクリア¶
- [入力形式]
- clear ip access-list hit-count [ ACCESSLIST-NAME ]
- [パラメータ]
ACCESSLIST-NAME...IPv4 アクセスリスト名
- 15文字以内の文字列
- [説明]
- アクセスリストのカウンタをクリアします。ACCESSLIST-NAME を省略時は、すべてのアクセスリストのカウンタをクリアします。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ip access-list hit-count 3000
- [ノート]
- なし